고객 정보 대문 열어놨나…쿠팡 사태 '서명키·인증 토큰' 정체는

(서울=뉴스1) 김민수 기자 = 쿠팡에서 3370만건 규모의 고객정보가 유출된 사건을 계기로 기업 보안의 기초인 서명키와 인증 토큰 관리 체계에 관심이 쏠리고 있다.

이번 사고는 정교한 외부 공격이라기보다, 관리되지 않은 서명키로 데이터에 접속한 사건이라는 의혹이 나오고 있어서다.

1일 최민희 더불어민주당 의원실은 쿠팡이 로그인 토큰 생성에 쓰이는 서명키 유효기간을 5~10년으로 설정하는 사례가 많다고 지적했다.

퇴사자 등이 발생했을 때 서명키 갱신 혹은 삭제 등 기초적인 관리가 필요한데 여기에 구멍이 뚫리며 사고가 발생했다는 지적으로 볼 수 있다.

서명키는 서비스가 발급하는 인증 토큰의 무결성과 정당성을 검증하는 최상위 암호키다. 기업 내부 시스템을 여는 '마스터키'이자, 발급 문서에 찍는 '전자 도장'과 같다.

이 도장이 있어야만 토큰이 '진짜 회사가 발급한 것'으로 인정된다. 놀이공원에 비유하면, 표를 공식적으로 발급하는 매표소 역할이다.

인증 토큰은 이 매표소에서 발급받은 '자유이용권'에 해당한다. 서명키로 생성된 인증 토큰은 서버·데이터베이스 등 중요 시스템에 접근할 수 있도록 허용하는 '유효 기간이 있는 출입증'이다. 유효 기간 동안에는 제한 없이 접근이 가능하다.

따라서 담당 직원이 퇴사한 뒤에도 회사가 서명키를 갱신하거나 폐기하지 않았다면, 매표소 기능이 계속 유지가 된다. 이때 발급받은 인증 토큰 역시 계속 유효해 내부 데이터베이스에 접근할 수 있게 된다.

이번 사건도 이러한 상황이 실제로 벌어진 사례로 추정된다. 중국 국적의 쿠팡 직원이 퇴사 후 중국에서 재직 중 확보한 서명된 인증 토큰을 활용해 고객정보 약 3370만건을 대량 유출한 것으로 알려졌다.

한편 경찰은 이번 사건과 관련해 피해자들에게 발송된 협박 이메일 계정 두 개를 추적 중이다. 서울경찰청 관계자는 "지난달 16일에는 쿠팡 고객들에게, 25일에는 쿠팡 고객센터로 협박 메일이 발송됐다"며 "발신 계정은 서로 다른 두 개로 확인됐으며 동일인 여부를 분석하고 있다"고 밝혔다.

kxmxs4104@news1.kr